6 bezpečnostních rizik e-mailu ve firmě

Ochrana důvěrných informací je naprosto zásadní pro každou organizaci - obzvlášť ale pro ty, které provozují velkou část svého byznysu online. Zabezpečení informací si vyžaduje technická řešení - brány firewall, antiviry a další bezpečnostní software. Opravdu dobrý plán zabezpečení zapájí také samotné zaměstnance.

Pokud mají zaměstnanci znalosti o bezpečnostních hrozbách a vědí jak je eliminovat, vytvoří jakýsi lidský firewall, který organizaci chrání před rostoucím počtem hrozeb v prostředí současného podnikání. Pokud firmy tento lidský firewall nevybudují, propásnou nejen příležitost ochránit svůj personál ale vystaví svou organizaci velkému počtu hrozeb.

Abychom vaší organizaci pomohli začít, sestavili jsme seznam šesti největších bezpečnostních hrozeb v e-mailové komunikaci, s pokyny, které vašim zaměstnancům pomohou jim čelit.

1. Řetězová pošta

Řetězová pošta (nebo řetězové dopisy) může mít mnoho různých podob. Většina z nás se asi již setkala s podivnými e-maily, které tvrdí, že budete mít sedmiletou smůlu, pokud je nepředáte všem, které znáte. Některé řetězové e-maily ale můžou opravdu přinést pohromu.

Například původní odesílatel e-mailu by se mohl vydávat za někoho ve vašem IT týmu a tvrdit, že vyřazuje nepoužívané softwarové licence. Pokud na e-mail neodpovíte a nepošlete jej všem aktivním členům organizace, bude vám hrozit ukončení vašeho e-mailového účtu nebo celé licence Office 365. Uživatelé budou předpokládat, že je lepší mít jistotu než pak litovat, a předají zprávu všem v jejich týmu. Než se nadějete, původní odesílatel e-mailu sesbírá všechny aktivní adresy ve vaší organizaci a také seznam potenciálně důvěřivých cílů pro budoucí útoky.

Tyto útoky mohou být ještě nebezpečnější. Například, vyzvou zaměstnance, aby přispěli penězi nemocnému kolegovi, který o žádné charitativní akci nemá zdání, a vytvoří schéma, jak vašim zaměstnancům ukrást stovky nebo tisíce korun. Rovněž mohou požádat zaměstnance, aby si stáhli soubor obsahující malware, který by mohl ohrozit zaměstnance v celé organizaci. Abyste těmto hrozbám zabránili, dejte zaměstnancům vědět, jak řetězová pošta obvykle vypadá, a ujistěte se, že vědí, že váš tým nikdy nebude prostřednictvím e-mailu sbírat jména, aby rozhodl, které licence se ponechají.

2. Phishing

Mnoho lidí si myslí, že se nemůžou stát obětí phishingu, ale tento falešný pocit bezpečí je přesně důvod, proč je phishing tak nebezpečný. Ve skutečnosti u třetiny všech útoků v roce 2019 se jednalo o phishing a až 78 procent všech špionážních kyberútoků souvisí právě s phishingem. Do phishingové pasti se chytili i státní úředníci! A vaši zaměstnanci jsou pravděpodobně stejně zranitelní jako všichni ostatní, ne-li více.

Příkladem phishingového útoku je e-mail od společnosti „Microsoft“, který žádá zaměstnance o potvrzení přihlašovacích údajů do Office 365 z důvodu nedávného narušení bezpečnosti. Tyto e-maily mohou na první pohled vypadat mimořádně přesvědčivě, ale pokud zaměstnanec zkontroluje informace o odesílateli, často se mu zobrazí podivný e-mail jako „support @ microsoftsupport.com“ - zjevně ne e-mail, který by společnost Microsoft používala pro oficiální korespondenci. Tým IT by měl zajistit, aby zaměstnanci vždy kontrolovali e-mail odesílatele a nikdy neuváděli své heslo v odpovědi na „potvrzovací“ e-mail bez výslovného souhlasu IT.

3. Cílený phishing

Cílený phising (spear phishing) je sofistikovanější forma phishingu. Hacker si prostuduje jednotlivce, kterého identifikoval jako velmi cenného nebo jako bezpečnostní riziko, a před odesláním phishingového e-mailu dané osobě přímo zavolá na téma související s prací a avizuje mu, že obdrží e-mail nebo pozvánku. Tímto trikem se pokusí přimět jednotlivce, aby mu sdělil důvěrné informace, poslal peníze nebo stáhnul malware. Tyto e-maily jsou ještě nebezpečnější než běžné phishingové útoky, protože počítají s důvěrou lidí, kteří věří, že odesílatele znají.

Prevence cíleného phishingu je podobná prevenci phishingu. Zajistěte, aby zaměstnanci kontrolovali informace o odesílateli, a nikdy nestahovali soubory ani nesledovali odkazy zaslané z neznámé „osobní“ adresy. Pokud si nejsou jistí, měli by se obrátit na údajného odesílatele pomocí svého oficiálního firemního e-mailu nebo přímo kontaktovat IT a požádat o další pokyny.

4. Spoofing

Spoofing, neboli falšování identity, se používá k oklamání uživatele telefonu, e-mailu nebo internetu, aby si myslel, že komunikuje se známým nebo důvěryhodným zdrojem. Mnoho podvodných hovorů například zfalšuje telefonní číslo někoho ve vaší organizaci (například nadřízeného nebo člena týmu IT) a využije jej na maskování svého skutečného čísla. Tento druh podvodu lze využít k získání důležitých informací o společnosti nebo dokonce peněz od zaměstnanců a často vede k většímu útoku, jako je vishing (viz níže).

Prvním krokem ke zmaření pokusu o spoofing je informování zaměstnanců, že tento postup je velmi běžný. Pokud přijmou podezřelý hovor od někoho, kdo používá známé číslo, měli by se pokusit hovor co nejdříve ukončit a předat informace o hovoru pracovníkům IT, aby mohli upozornit ostatní členy organizace. Pokud si zaměstnanci nejsou jisti, zda je volající legitimní nebo ne, měli by navrhnout, že mu zavolají zpět, protože spoofing funguje jen jednosměrně. Pokud na známé telefonní číslo zaměstnanec zavolá, neskončí s podvodníkem na jiné lince a může si potvrdit totožnost volajícího.

5. Vishing

Vishing je podobný phishingu, ale probíhá přes hlasové kanály, jako jsou telefony, hlasové schránky nebo dokonce videokonferenční platformy. Obvyklým cílem těchto hovorů ze zfalšovaných telefonních čísel je předstírat, že jde o hovor s nadřízeným nebo klientem a přesvědčit uživatele, aby věnoval své peníze nebo prozradil soukromé informace.

Můžete například obdržet falešný telefonát od poskytovatele služeb, který tvrdí, že váš účet byl ohrožen, a musíte si promluvit se zástupcem. Když budete mluvit se zástupcem ohledně vašeho účtu, požádá vás o přihlašovací údaje, číslo účtu, bankovní údaje a další - často se od vás pokusí získat co nejvíce informací nebo zdrojů.

Aby se týmy IT připravily na takový útok, měly by ujistit zaměstnance, že tyto hovory jsou často vedené tak, aby je zpanikařily, a že skutečný zástupce, který by tyto informace potřeboval, by byl pravděpodobně trpělivý a ochotný spolupracovat s členem týmu IT. Zaměstnanci by v takové situaci měli požádat o chvíli na rozmyšlení, aby se mohli zastavit a přemýšlet, zda se hovor nejeví jako podvod nebo jiná hrozba. Pokud zaměstnanec příjme podezřelý hovor, jako je tento, měl by informovat volajícího, že tyto hovory obvykle zpracovává oddělení IT, a předat hovor IT pro další vyhodnocení.

6. Škodlivé přílohy

Ačkoli mnoho e-mailových služeb nabízí vlastní funkce antivirového skenování, škodlivé přílohy jsou stále nebezpečné pro mnoho podniků. Podvodníci často pošlou vašim zaměstnancům neškodný e-mail s přílohou, možná jako součást pokusu o phishing, a vyzvou zaměstnance, aby si soubor stáhli. Spoléháním na strach nebo zvědavost jsou tito podvodníci schopni přesvědčit pracovníky, aby stahovali kompromitované soubory, které v případě stažení nebo otevření dokumentu uvolní malware.

Existují dva hlavní způsoby, jak chránit své zaměstnance před škodlivými přílohami: prevence a ochrana. Požádejte je, aby si nestahovali podivné dokumenty, i když jsou zvědaví nebo se cítí ohroženě. Připravte se ovšem i na to, že lidi někdy selžou, a zajistěte, aby všechna zařízení a servery byly vybaveny kvalitním antivirem, který dokáže označit a zničit malware ze škodlivých příloh.